2012年3月15日,中国最大的互联网及无线安全服务提供商360公司正式发布升级后《用户隐私保护白皮书V2.0版》(以下简称《白皮书2.0版》)。以“透明、公开、自律、为用户服务”为主旨,《白皮书2.0版》不仅完善了原有360互联网服务中的产品信息,还新增了对360旗下各个无线产品工作原理和信息处理机制的详细阐述。
360所发布的《白皮书2.0版》,将所有产品的工作原理和信息处理机制公布于众,是迄今为止国内第一本最齐全、最详尽的用户隐私信息保护的行为守则,堪称中国互联网企业隐私保护的“汉谟拉比法典”。
值得关注的是,《白皮书2.0版》不仅将360所有产品的工作原理和信息处理机制公布于众,还特别强调了健康的软件行为应该遵循“四不三必须”的行为规范;同时《白皮书2.0版》提出,在保护互联网隐私信息安全过程中,网站、政府、安全公司必须做到“三位一体”;360作为中国最大的互联网安全公司,将成为保护用户隐私信息的第一道屏障。
与《白皮书2.0版》发布同步,3月15日,360正式宣布任命公司副总裁谭晓生为首席隐私官(CPO,Chief Privacy Officer),专职负责处理隐私事务,保证公司各软件产品的行为符合国家相关的法律法规,并进一步提高和完善隐私保护制度。
打造信任基础,完全公开透明
在移动互联网时代的今天,人们在享受互联网提供高效、便捷服务的同时,也时刻承担着个人信息隐私被泄漏的风险:个人隐私信息,可能会丢失,可能会泄露、可能被滥用。
360公司本次发布的《白皮书2.0版》在2010年10月发布的第一版基础上,增加了移动互联网产品的相关内容,包括360手机卫士、360手机桌面、360手机助手、360浏览器HD等,全部纳入了开放化、透明化之列,与此前对待 PC端安全产品一样,360同样将无线产品的工作原理和信息处理机制向全社会公开。
据了解,通过发布《白皮书2.0版》,360对自身的安全产品,包括360安全卫士、杀毒、手机卫士等,也提出了更高级别的保护用户隐私的标准。在《白皮书2.0版》中360表示,互联网上对于用户隐私信息使用必须要更加透明、公开,以便于网民的监督和政府的监管。
360方面透露,作为隐私保护专业人士国际联合会(IAPP)的成员企业,360一年前已经将旗下所有产品的源代码托管给中国信息安全测评中心,任何个人和机构都可以查看360产品的源代码。任何人、任何机构在查看源代码的过程中发现360 产品中有侵犯用户隐私的可疑之处,都可以向相关部门举报。
网站、政府、安全公司须“三位一体”
对于如何保护互联网上隐私信息安全,新版《白皮书》特别指出,网站、政府、安全公司必须“三位一体”,一个都不能少。
据称,互联网上绝大部分隐私信息的泄露,与病毒木马等恶意程序相关。360作为中国最大的互联网安全公司,从2006年以来始终免费为网民提供安全软件,使得超过90%以上的电脑都安装了杀毒软件,成为保护隐私的第一道屏障。
但是,个别网站,为了追求商业利益最大化,忽视网民的隐私安全,也成为用户隐私泄露的途径。其中,2011年底爆发的大规模拖库事件,就曾给网民造成巨大损失。这表明互联网网站服务商们,必须要采取安全措施,提升管理水平,承担起妥善保管用户个人数据的责任。
此外,政府机关作为相应的立法和监管者,一方面惩治病毒、木马制作者的犯罪行为,一方面能够惩罚互联网服务商玩忽职守者,同样将是隐私保护的一道重要防线。
同时,3月15日360还特别任命了公司副总裁谭晓生为首席隐私官,专职负责处理隐私事务,包括制定隐私政策、监督各产品的隐私情况、防止触犯用户隐私权的事件发生、以及担任网民隐私代言人等事宜。
“作为中国PC互联网和移动互联网领先的安全厂商,在提供强大的隐私保护工具的同时,360有责任在用户隐私保护方面做出行业表率。”新上任的CPO谭晓生说,“360一直很重视用户隐私保护, 360在用户隐私保护方面始终实施着业内最严格的标准,《用户隐私保护白皮书2.0版》的发布,更证明了360在用户隐私保护方面走在行业的前列。”
定义“四不三必须”准则
在《白皮书2.0版》中,360对于互联网健康的软件行为重新定义了“四不三必须”的七个规范。
其中,“四不”是指:不该看的不看;不该传的不传;不该存的不存;不该用的不用。
《白皮书2.0版》指出,软件的功能不同,在电脑和手机的生态系统中各司其职,其行为也必须要有边界。例如作为应用软件,即时聊天工具可以调用Windows的公共系统资源,可以调用与聊天相关的软件,例如输入法软件以方便文字输入;但是,如果这款聊天工具主动地,特别是在用户不知情的情况下,去访问其他不相关的软件和个人信息,这样的软件行为就是不正常的、不健康的软件行为。
所谓“三必须”是指:一切行为必须明示;必须经过用户许可;必须对收集的用户隐私信息负责。
软件行为必须明示用户,是尊重用户的知情权和选择权的重要体现。《白皮书2.0版》特别指出,用户主动触发的软件行为是正常的、健康的,是用户的知情权和选择权得到尊重和保障的体现。如果用户在使用上网时的默认设置被篡改,此时软件程序的行为就不是正常的、健康的软件行为,这也意味着用户的知情权和选择权受到了侵犯。
此外,在今天的云计算时代,电脑和手机通过互联网彼此联系在一起,同时电脑和手机上的软件也通过互联网与后台的服务器随时进行通讯联系和数据传输,为用户提供更高品质的服务。然而,软件的不良行为也会导致用户的个人隐私通过互联网上传到后台服务器中,被恶意利用。因此,只有建立有效的监督和约束机制才能保证您的个人隐私权不受到侵害。
谭晓生认为,互联网时代隐私信息保护的原则包括多个方面:不必要的数据不收集,不必存的数据不保存,数据安全传输,敏感数据加密存储,敏感数据分级访问控制;网站服务商还应防止内部员工窃取用户隐私,不滥用用户信息谋利,并完善、做好网络安全防范措施,预防网站信息被拖库的现象发生。360将所有产品的工作原理和信息处理机制公布于众,迄今为止是第一家,也是唯一一家将产品全部透明化、公开化的互联网公司。